Wireshark（前稱Ethereal）是一個網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是截取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進行數(shù)據(jù)報文交換。

在過去，網(wǎng)絡(luò)封包分析軟件是非常昂貴的，或是專門屬于盈利用的軟件。Ethereal的出現(xiàn)改變了這一切。在GNUGPL通用許可證的保障范圍底下，使用者可以通過免費的途徑取得軟件與其源代碼，并擁有針對其源代碼修改及客制化的權(quán)利。Ethereal是全世界最廣泛的網(wǎng)絡(luò)封包分析軟件之一。

Wireshark抓包示例

1、下載并且安裝好Wireshark后打開軟件（本文以Wireshark Version 3.4.9 介紹）打開后我們可以看到，Wireshark可以自動識別出電腦上面的網(wǎng)卡（包括虛擬網(wǎng)卡），這里我們雙擊我們需要抓包的網(wǎng)卡。

2、雙擊進入此界面后，Wireshark已經(jīng)自動開始了抓包過程，如果網(wǎng)卡在與其他網(wǎng)絡(luò)設(shè)備通訊，我們就能看到如下圖所示的各種網(wǎng)絡(luò)協(xié)議報文。

3、ping www.ebyte.com

4、由于Wireshark抓取的是網(wǎng)卡物理層的數(shù)據(jù)，所以所有通過該網(wǎng)卡收發(fā)的數(shù)據(jù)都會被Wireshark抓取，這就讓我們從海量數(shù)據(jù)中找到我們需要關(guān)注的網(wǎng)絡(luò)包就如同大海撈針，但是Wireshark提供了強大的數(shù)據(jù)包過濾功能，我們就能比較輕松地找到對應(yīng)的包。比如上面我已經(jīng)ping了我司官網(wǎng)，現(xiàn)在Wireshark已經(jīng)抓取了兩萬多條報文，只要通過在過濾器輸入”ip.addr == 101.37.40.78 && icmp“就能找到對應(yīng)的報文。

TCP報文抓包分析示例

1、Wireshark的抓包開啟Wireshark的抓包功能后，通過電腦連接到本地搭建的回顯服務(wù)器，電腦上面的客戶端發(fā)送了一段數(shù)據(jù)到服務(wù)器，服務(wù)器回傳到電腦上的客戶端。

2、過濾報文此時我們在Wireshark的過濾欄中輸入“ip.addr == 192.168.3.6”就能過濾出網(wǎng)絡(luò)報文中基于IP協(xié)議簇，且IP地址（源地址或目標地址）為192.168.3.6的網(wǎng)絡(luò)報文。如下圖所示：

Wireshark在封包展示界面中根據(jù)網(wǎng)絡(luò)協(xié)議模型，展示出了各層協(xié)議的重要信息如下圖所示：Frame：表示物理層Ethernet II：數(shù)據(jù)鏈路層信息，包括源主機MAC，目標主機MAC與協(xié)議類型如IPV4(0x0800)Internet Protocol Version 4：IP協(xié)議幀信息，包括源主機IP地址，目標主機IP地址等Transmission Control Protocol：TCP協(xié)議相關(guān)信息，包括源端口與目標端口號，接收窗口大小等

3、TCP握手過程

Wireshark常用過濾器設(shè)置

1、Wireshark中的邏輯運算符1.1 比較運算符如：== （等于）、！=（不等于） 、>（大于） 、<（小于） 、>=（大于等于） 、<=（小于等于）ip.src == 192.168.3.6 過濾源主機IP地址或者目標主機IP地址為192.168.3.6的報文1.2 邏輯運算符如：&&（與）、||（或）、?。ǚ牵﹊p.src == 192.168.3.6 && && tcp.srcport == 8001,則只顯示報文源主機地址為192.168.3.6且源端口為為8001的報文2、協(xié)議過濾 根據(jù)網(wǎng)絡(luò)協(xié)議過濾報文，即在抓包過濾框中輸入?yún)f(xié)議相關(guān)字段即可，包括”TCP”,”UDP””HTTP””ICMP”等。3、MAC地址過濾eth.addr == 382602:dd 過濾源主機MAC地址或者目標主機MAC地址為382602:dd的報文eth.src== 382602:dd 過濾源主機MAC地址為382602:dd的報文eth.dst== 382602:dd 過濾目標主機MAC地址為382602:dd的報文

4、ip地址過濾Ip.addr == 192.168.3.6 過濾源主機IP地址或者目標主機IP地址為192.168.3.6的報文Ip.src== 192.168.3.6 過濾源主機IP地址為192.168.3.6的報文ip.dst == 192.168.3.240 過濾目標主機IP地址為192.168.3.240的報文5、端口過濾tcp.port==80 過濾基于TCP協(xié)議且目標端口號或源端口號為80的報文udp.srcport == 8001 過濾基于UDP協(xié)議且端口號為8001的報文tcp.dstport == 8001 過濾基于TCP協(xié)議且目標端口號為8001的報文6、http模式過濾http.request.method=="GET", 過濾基于http協(xié)議且http請求方式為”GET”的報文